本发明专利技术实施例提供了一种基于web指纹信息的渗透方法、装置、设备及介质,其中,该方法包括以下步骤:根据网站的建站形式判断渗透目标,并针对每个渗透目标确定一种或多种指纹信息的渗透思路;对渗透目标的所有站点信息分析,确定指纹检测的对象;按照预设优先级顺序,根据指纹信息的渗透思路和指纹检测的对象,确定指纹信息,根据指纹信息进行渗透。由于该方法实现了多类别、多类型、范围更大的web指纹信息的判断,因此判断结果更加准确。按照预设优先级顺序确定指纹信息,效率更高。效率更高。效率更高。
【技术实现步骤摘要】
基于web指纹信息的渗透方法、装置、设备及介质
[0001]本专利技术涉及自动测试
,特别涉及一种基于web指纹信息的渗透方法、装置、设备及介质。
技术介绍
[0002]通过网站的指纹信息来进行检索匹配已知存在的漏洞,并进行漏洞探测和漏洞利用,从而达到渗透网站的目的,获取网站权限或获取网站数据等。现有技术公开了一种基于web指纹信息的漏洞探测方法及装置,其中,该方法包括:确定渗透目标的web网站,其中,所述渗透目标为通过网络连接的网络系统;采集所述web网站的web指纹信息;使用所述web指纹信息探测所述渗透目标的对外漏洞。但是该方案指纹信息采集不够精确,范围不够大,导致匹配的漏洞不够准确。
技术实现思路
[0003]有鉴于此,本专利技术实施例提供了一种基于web指纹信息的渗透方法、装置、设备及介质,以解决现有技术中指纹信息采集不够精确,范围不够大,导致匹配的漏洞不够准确的技术问题。该方法包括:
[0004]根据网站的建站形式判断渗透目标,并针对每个渗透目标确定一种或多种指纹信息的渗透思路;
[0005]对渗透目标的所有站点信息分析,确定指纹检测的对象;
[0006]按照预设优先级顺序,根据指纹信息的渗透思路和指纹检测的对象,确定指纹信息,根据指纹信息进行渗透。
[0007]本专利技术实施例还提供了一种基于web指纹信息的渗透装置,该装置包括:
[0008]取得指纹信息的渗透思路模块,用于根据网站的建站形式判断渗透目标,并针对每个渗透目标确定一种或多种指纹信息的渗透思路;
[0009]取得指纹检测的对象模块,用于对渗透目标的所有站点信息分析,确定指纹检测的对象;
[0010]指纹信息渗透模块,用于根据指纹信息的渗透思路和指纹检测的对象,确定指纹信息,根据指纹信息进行渗透。
[0011]本专利技术实施例还提供了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述任意的基于web指纹信息的渗透方法。
[0012]本专利技术实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有执行上述任意的基于web指纹信息的渗透方法的计算机程序。
[0013]与现有技术相比,本说明书实施例采用的上述至少一个技术方案能够达到的有益效果至少包括:
[0014]根据网站的建站形式判断渗透目标,并针对每个所述渗透目标确定一种或多种指
纹信息的渗透思路,对渗透目标的所有站点信息分析,确定指纹检测的对象,即使得渗透目标可以是不同建站形式的网站,同时基于所有站点信息来确定指纹检测的对象,可以使指纹检测的对象更多样化,进而有利于实现多类别、多类型、范围更大的web指纹信息采集,以便提高基于web指纹信息匹配漏洞的准确度;此外,按照预设优先级顺序确定指纹信息,有利于提高采集指纹信息的效率。
附图说明
[0015]为了更清楚地说明本申请实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
[0016]图1是本专利技术实施例提供的一种基于web指纹信息的渗透方法的流程图;
[0017]图2是本专利技术实施例提供的一种计算机设备的结构框图;
[0018]图3是本专利技术实施例提供的一种基于web指纹信息的渗透装置的结构框图。
具体实施方式
[0019]下面结合附图对本申请实施例进行详细描述。
[0020]以下通过特定的具体实例说明本申请的实施方式,本领域技术人员可由本说明书所揭露的内容轻易地了解本申请的其他优点与功效。显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。本申请还可以通过另外不同的具体实施方式加以实施或应用,本说明书中的各项细节也可以基于不同观点与应用,在没有背离本申请的精神下进行各种修饰或改变。需说明的是,在不冲突的情况下,以下实施例及实施例中的特征可以相互组合。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
[0021]Web指纹识别是渗透测试
‑
信息收集环节中一个比较重要的步骤,通过一些开源的工具、平台或者手工等方式,检测CMS系统是公开的CMS程序还是二次开发至关重要,能准确的获取CMS类型、Web服务组件类型及版本信息可以帮助安全工程师快速有效的去验证已知漏洞。
[0022]内容管理系统(Content Management System,CMS),CMS是一种位于WEB前端(Web服务器)和后端办公系统或流程(内容创作、编辑)之间的软件系统。
[0023]内容分发网络(Content Delivery Network,CDN),CDN是构建在网络之上的内容分发网络,依靠部署在各地的边缘服务器,通过中心平台的负载均衡、内容分发、调度等功能模块,使用户就近获取所需内容,降低网络拥塞,并提高用户访问响应速度和命中率。
[0024]网站应用级入侵防御系统(Web Application Firewall,WAF),WAF是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。
[0025]在本专利技术实施例中,提供了一种基于web指纹信息的渗透方法,如图1所示,该方法包括:
[0026]第一步、根据网站的建站形式判断渗透目标,并针对每个所述渗透目标确定一种或多种指纹信息的渗透思路。
[0027]具体的,建站形式分为以下几个类别:
[0028]1、多目录站点;
[0029]同一个站点下具有不同的分目录,例如,www.xxx.com,www.xxx.com/bbs,www.xxx.com/old。
[0030]2、多端口站点;
[0031]同一个站点下具有不同的端口,例如,www.zzz.com,www.zzz.com:8080,www.zzz.com:8888。
[0032]3、多域名站点;
[0033]同一个站点具有不同的域名,例如,www.yyy.com,bbs.yyy.com,blog.yyy.com。
[0034]4、多客户端站点;
[0035]同一个站点的客户端包括有PC端和移动端,例如,www.yyy.com,m.yyy.com。
[0036]具体实施时,所述渗透目标包括以下任意项或任意组合:
[0037]多目录站点的主目录站点和子目录站点;
[0038]多端口站点的每个端口;
[0039]多域名站点的网址;
[0040]多客户端站点的PC端站点和移动端站点。
[0041]具体实施时,根据以上四种建站形式,分别对应以下渗透思路:
[0042]多目录站点的网站可能有多个cms或框架组成,那本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于web指纹信息的渗透方法,其特征在于,包括以下步骤:根据网站的建站形式判断渗透目标,并针对每个所述渗透目标确定一种或多种指纹信息的渗透思路;对所述渗透目标的所有站点信息分析,确定指纹检测的对象;按照预设优先级顺序,根据所述指纹信息的渗透思路和所述指纹检测的对象,确定指纹信息,根据所述指纹信息进行渗透。2.如权利要求1所述的基于web指纹信息的渗透方法,其特征在于,所述指纹检测的对象包括以下任意项或任意组合:CMS信息、CDN信息和WAF信息;所述指纹检测的对象的所述预设优先级顺序由高到低为:CMS信息、CDN信息、WAF信息。3.如权利要求1所述的基于web指纹信息的渗透方法,其特征在于,所述建站形式包括以下任意项或任意组合:多目录站点、多端口站点、多域名站点以及多客户端站点;所述渗透目标包括以下任意项或任意组合:多目录站点的主目录站点和子目录站点;多端口站点的每个端口;多域名站点的网址;多客户端站点的PC端站点和移动端站点。4.如权利要求1所述的基于web指纹信息的渗透方法,其特征在于,对每个所述渗透目标确定一种或多种指纹信息的渗透思路,包括:对每个CMS确定一个渗透思路,所述渗透思路包括:同一网站的每个目录站点使用一种渗透方法;同一网站的每个端口使用一种渗透方法;同一网站的多个域名站点使用同一种渗透方法;同一网站的PC端和移动端使用不同的渗透方法。5.如权利要求1所述的基于web指纹信息的渗透方法,其特征在于,对渗透目标的所有站点信息分析,确定指纹检测的对象,包括:采用PING命令或者修改网页后缀提示反馈信息的方式,远程判断网站的服务器类型,取得服务器类型后,根据所述服务器类型通过nmap扫描取得服务器版本,根据所述服务器类型和所述服务器版本,将应用服务器、IP、域名信息及端口信息确定为指纹检测的对象;通过网站的所述服务器类型和所述服务器版本,判断网站的容器类型,根据所述容器类型判断Web服务器端的软件类型及软件版本,根据所述Web服务器端的软件类型及软件版本,解析所述Web服务器端的漏洞,根据解析出的所述漏洞,将Web服务器确定为指纹检测的对象;根据所述Web服务器端的软件类型及软件版本,将开发语言确定为指纹检测...
【专利技术属性】
技术研发人员:周嵩琛,李可,赵远杰,胡维,梁露露,陈幼雷,韩冰,李季,
申请(专利权)人:北京源堡科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。